鹰潭ISO27001信息（xī）安全管理系统（tǒng）标（biāo）准简介（2）

您的（de）当前位置：首页 >> 服务（wù）项目 >> 鹰潭ISO27001

鹰潭ISO27001信息安全管理（lǐ）系统标准简介（2）

所属分（fèn）类：鹰潭（tán）ISO27001
点击次（cì）数（shù）：
发布日期：2021/06/17
在线询价（jià）

详细介绍

信息安（ān）全（quán）管（guǎn）理（lǐ）系统是运营风（fēng）险整（zhěng）体管理系统（tǒng）的（de）其中一部分，目的是（shì）建立、实施、推行（háng）、检讨（tǎo）、维持及（jí）改善信息安全（quán）。

机构在信息的机密性、完整性和可用（yòng）性三方面的目标各是什（shí）么呢？什么程度的（de）风（fēng）险（xiǎn）是可接受的？是否存在任何限制，如法律、法规（guī）或机（jī）构内部程序？信息安全政策应该是一份由行政总（zǒng）监（jiān）签署认可的（de）文件。控制措施应采取由上（shàng）至下的推行方（fāng）式。

风险评估（gū）根据需要保护的信息和可（kě）接受的风险程（chéng）度（dù）来识（shí）别真正（zhèng）的风险，并就这些风险出（chū）现（xiàn）的可能性与其影响的严（yán）重性作出评估，从而辨（biàn）别出机构（gòu）需要管理的风险，即下（xià）图红色（sè）部（bù）分内的（de）风险（xiǎn）。

风险管理 / 风险处理
完成风险评估后，便要决定如何处理这些（xiē）风险。

适用性报告 (Statement of Applicability)
识（shí）别出（chū）所有（yǒu）的保安（ān）措施，指出哪些对机构而言是（shì）适用或（huò）不适用的，并说明原（yuán）因。须针对风险评估的结果来选择（zé）控（kòng）制措施。

II. 实（shí）施（shī）
选定了（le）控制（zhì）措施后，便需落实推（tuī）行，同时也需制（zhì）定程序以确保能（néng）够迅速察觉到事故的发生并作出回应，并确保所有员工都了解信息安（ān）全的重要（yào）性，且确保其接受（shòu）了适当的培训，及有能力执（zhí）行他们负责（zé）的保安（ān）任务。此外，还要妥善管理所（suǒ）需的资（zī）源。

III. 核查（chá）
核查的目（mù）的是确保（bǎo）控制措施（shī）都已推行，并（bìng）能达到既定（dìng）的（de）目标。尽（jìn）管有多种可行的核查方法，但只有内部审（shěn）核（hé）与管理检讨是强制性（xìng）的（de）要求。

IV. 采取行动
      之后便（biàn）需对（duì）核查结果采取适当的行动，相关的行动可以是：
      修正
      预防
      改善

总结
ISO/IEC 27001:2005 标准为所有行业的机构都提供（gòng）了（le）一套业务工（gōng）具（jù），协助（zhù）其避（bì）免信（xìn）息保安的失误，从而降低了相应的风险。正式推行ISO/IEC 27001:2005 并取得有关认证的机构将受益匪浅（qiǎn），以下列举其（qí）中数项：
由（yóu）于按照国际（jì）标准实施适当的控制措施，机构便能自行将信息保安的失误（wù）率降至较（jiào）低
以系统化（huà）的方法处理符合法律的问（wèn）题，从而减（jiǎn）低所需承担的法律责任风险
以（yǐ）系统化的方法计（jì）划及管理（lǐ）运营的持续（xù）性

增加（jiā）客户、合作伙（huǒ）伴（bàn）和相（xiàng）关人士对（duì）机构的信心（xīn）
提升（shēng）营运收入，并为机构（gòu）带来（lái）更多（duō）商机